[By Ross Bryant, Chief of Research at Phylum]
2024'te yapabileceğim güvenli bir tahmin varsa o da yazılım tedarik zinciri saldırılarının endişe verici bir hızla artmaya devam edeceğidir. Ekibimin görevi açık kaynak yazılım ekosistemindeki kötü aktörleri takip etmektir ve 2023'te görülecek çok şey vardı. 2023'ün 4. çeyreği araştırma raporumuz yazılım tedarik zincirinin daha kolay ve daha popüler saldırı vektörlerinden biri olduğunu ortaya çıkardı. Bu vektör, projelerin %97'sinde açık kaynak kullanıldığından ve kod tabanlarının %70'inden fazlasında yer aldığından kolay bir hedeftir. Araştırma, özellikle finansal ve kripto para birimlerinde hedeflenen organizasyonlarda ve saldırı karmaşıklığında önemli bir artış olduğunu ve parasal kazancın en büyük motivasyon kaynağı olduğunu keşfetti.
2024 ilerledikçe, üretim sistemi kimlik bilgileri hırsızlığı ve finansal kaynaklar (örneğin, kişisel olarak tanımlanabilir bilgiler (PII), kripto para birimi vb.) gibi popüler saldırı yöntemleri en büyük tehditler olmaya devam edecek. Saldırganlar ayrıca fidye yazılımı tarzı kampanyalar yürütmeye devam edecek; müşteri verilerine ve varlıklarına erişimden yararlanacak ve çalıntı bilgi tehdidini kullanarak kuruluşları fidyeyi ödemeye zorlayacak.
Rakamlarla Sürpriz
Bu üç aylık araştırma raporu, yayınlanan paketlerde önceki çeyreğe göre hafif bir düşüş olduğunu gösterdi. Ancak hedeflenen kuruluşların sayısı artırılmış önemli ölçüde — 2023'ün ikinci çeyreğine göre %47 artış gösteren 2023'ün üçüncü çeyreğine kıyasla %262,63 daha fazla hedefli saldırı. Bu, 2023 genelinde doğrudan, hedefli saldırıların arttığına dair açık bir eğilim gösterdi.
Yayınlanan paketlerin sayısı önceki raporlara göre daha düşük olsa da, daha büyük bir kısmı belirli kuruluşlara odaklandı ve yazılım tedarik zinciri tehditleriyle ilişkili belirli yöntemleri gösterdi.
Yanlış kimlik tespiti
Böyle bir saldırı yöntemi, bağımlılık karışıklığı, paket yöneticilerindeki karışıklık durumundan yararlanan bir yazılım tedarik zinciri saldırısıdır; özel bir kayıt defterinde arama yapmadan önce, genel bir kayıt defterindeki adlandırılmış paketleri kontrol eder. Bir saldırgan, aynı adlı, kötü amaçlı bir paketi genel kayıt defterine kaydedebilir ve paket yöneticisinin bu paketi yasal paket sanarak yanlışlıkla indirmesini isteyebilir.
Kamu sicillerinden yararlanan bir diğer yöntem ise marka çömelme. Bu yöntemde, tehdit aktörleri kötü amaçlı kodlarını maskelemek ve geliştiriciyi kötü amaçlı paketi indirmesi için kandırmak, yanıltmak ve kandırmak için popüler marka adlarını kullanır.
Ustaca Saldırgan = Daha Fazla Kazanç
Bu son araştırmada, yazılım tedarik zincirini hedeflemek için iki yaygın yaklaşım ortaya çıktı: üretim sistemi kimlik bilgileri hırsızlığı ve finansal kaynakların çalınması (örn. banka hesap bilgileri, kripto para birimi vb.).
Bir saldırıda bir tehdit aktörü seçilmiş bir grubu hedef aldı yaygın olarak kullanılan bulut sağlayıcı SDK'larından. Kodun incelenmesi, saldırganın özellikle bulut altyapısına yönelik hassas kimlik bilgileriyle ilgilendiğini ortaya çıkardı.
Saldırgan, geliştiricilerin bu paketlere olan güvenini istismar ederek, kodun kimlik bilgilerinin yönetilmesinden ve işlenmesinden sorumlu hayati bir bölümünü hafifçe değiştirdi. Bu, kullanıcıların saldırganın kontrolü altındaki uzak bir URL'ye erişimi ve gizli anahtarları için gizli bir HTTP POST isteğini tetikledi. Saldırgan, ince değişiklikler yaparak ve değiştirilen bu paketleri PyPI'de benzer adlarla yeniden yayınlayarak, paketlerin beklenen işlevselliğini korurken, tespit edilmemek için müdahale etti.
En az beş pakette kullanılan bu yöntem, uzak URL'yi gizlemek için basit ve etkili bir teknik içeriyordu ve geliştirici iş istasyonlarına ve üretim altyapısına güvenilir yazılım bileşenlerine sızma konusunda hesaplanmış bir yaklaşım sergiliyordu.
Bazı Kuruluşlar Proaktif Güvenlik Adımları Atıyor
Aralık 2023'te, bir makale yayınlandı tuhaf derecede karmaşık ek paketlerin keşfinin ana hatlarını çiziyor. Diğer bazı kampanyalardan farklı olarak, bu kampanyanın hedefi oldukça yüksekti.
Bu paketler, yalnızca belirli bir ağdaki yerel bir makinenin ortamından gelen verilerle kilidi açılabilen şifrelenmiş bir bileşen içeriyordu; burada şifre çözme anahtarı, belirli bir kuruluşun ana bilgisayar adıydı. Şifresi çözüldükten sonra veri yürütüldü ve kullanıcı kimlik bilgileri ağ içinde yanal olarak bir Microsoft Teams Webhook'a taşındı. Bu geriye birkaç seçenek bıraktı: Bir tehdit aktörü ağda derin bir yer edinmişti, bu bir güvenlik denetimiydi ya da bu içeriden gelen bir tehdidin işiydi.
Bu paketlerin özel odağının farkına varan hedef kuruluşla, bir saldırıyı uyarmak ve azaltmak için temasa geçildi. Eğer bu bir dış tehdit aktörüyse, saldırganın ciddi bir zarar verebilmesi için kuruluşun bundan haberdar edilmesi gerekiyordu.
Analiz, diğer APT (Gelişmiş Kalıcı Tehdit) kampanyalarıyla karşılaştırılabilecek çok gelişmiş ve karmaşık bir saldırıyı keşfetmeye devam etti.
Ancak hedef şirketle temas kurulduğunda, bunun gerçek dünyadaki acil tehditleri taklit etmeyi amaçlayan kapsamlı bir iç güvenlik değerlendirmesinin parçası olduğu keşfedildi. Taklit edilen saldırı, kuruluşun yazılım tedarik zincirini ağlarına giden bir kanal olarak kullanan saldırganlardan gördüğü davranışları kopyalamayı amaçlıyordu.
Kuruluşlar Neden Yazılım Tedarik Zinciri Güvenliğine Öncelik Vermeli?
2024 yılında saldırganlar daha da karmaşık hale gelecek ve yazılım tedarik zincirinden yararlanarak bir kuruluşun değerli müşteri ve kurumsal verilerine erişmenin yeni yollarını bulacak. Bağımlılık karmaşası ve marka işgali gibi yöntemler başlangıçtır ve hem paket yöneticilerini hem de geliştiricileri kolayca kandırır.
Yazılım tedarik zincirine daha fazla odaklanmak, bir kuruluşun, özellikle de finans ve kripto para alanlarındaki güvenlik portföyünün kritik bir bileşeni olmalıdır.
Reklam